Décision individuelle automatisée, y compris le profilage

Règlement général sur la protection des données · UE 2016/679

1. La personne concernée a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.

2. Le paragraphe 1 ne s'applique pas lorsque la décision:

a)	est nécessaire à la conclusion ou à l'exécution d'un contrat entre la personne concernée et un responsable du traitement;

b)	est autorisée par le droit de l'Union ou le droit de l'État membre auquel le responsable du traitement est soumis et qui prévoit également des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée; ou

c)	est fondée sur le consentement explicite de la personne concernée.

3. Dans les cas visés au paragraphe 2, points a) et c), le responsable du traitement met en œuvre des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée, au moins du droit de la personne concernée d'obtenir une intervention humaine de la part du responsable du traitement, d'exprimer son point de vue et de contester la décision.

4. Les décisions visées au paragraphe 2 ne peuvent être fondées sur les catégories particulières de données à caractère personnel visées à l'article 9, paragraphe 1, à moins que l'article 9, paragraphe 2, point a) ou g), ne s'applique et que des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée ne soient en place.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 22 explose avec l'arrivée massive des modèles IA dans les processus RH, crédit, assurance et anti-fraude. La CNPD et la CNIL sanctionnent trois angles morts récurrents : le responsable du traitement qui qualifié sa décision de semi-automatisée alors que l'humain ne fait que valider sans pouvoir réel de contestation (le fameux rubber stamping), l'absence d'information claire sur la logique sous-jacente exigée par l'article 13(2)(f), et l'oubli pur et simple du droit à intervention humaine dans les parcours utilisateurs. L'EDPB (lignes directrices WP251 rev.01) rappelle que la simple présence d'un humain dans la boucle ne suffit pas : il doit avoir l'autorité, la compétence et les données pour renverser la décision.

Les quatre tests qui qualifient un traitement article 22

Décision automatisée : aucun humain n'intervient, ou l'intervention est purement formelle (validation en masse sans examen individuel).
Effet juridique ou significatif similaire : refus de crédit, résiliation d'assurance, rejet de candidature, suspension de compte, tarification dynamique discriminante, score anti-fraude bloquant un paiement.
Base légale parmi les trois exceptions : nécessité contractuelle stricte, autorisation par le droit UE/national, ou consentement explicite. Les autres bases (intérêt légitime, obligation légale générale) ne valident PAS un traitement article 22.
Mesures de sauvegarde effectives : information renforcée sur la logique, droit à intervention humaine accessible en un clic, droit d'exprimer son point de vue, droit de contester avec réexamen documenté.

Le piège IA Act qui se cumule

Depuis l'entrée en vigueur du Règlement IA (UE 2024/1689), tout système qui prend une décision article 22 RGPD est très souvent qualifié de système IA à haut risque (annexe III : emploi, crédit, services essentiels, application de la loi). Vous cumulez alors les obligations RGPD article 22 ET les obligations IA Act (documentation technique, gestion des risques, surveillance humaine, journalisation). La CNPD coordonne désormais ses contrôles avec l'autorité de surveillance IA luxembourgeoise.

Comment Luxgap automatise ce risque

Notre Luxgap Algorithmic Décision Sentinel rend impossible le déploiement d'une décision automatisée non conforme en production : un agent IA spécialisé analyse vos pipelines de décision (Salesforce flows, scripts Python en production, modèles MLflow, règles métier SAP, scoring n8n/Zapier, workflows Odoo) et qualifié en temps réel chaque point de décision selon les quatre tests de l'article 22, avec génération automatique du dossier d'accountability fusionné RGPD article 22 + IA Act annexe III.

Détecte automatiquement les décisions automatisées en production via connecteurs natifs Salesforce, Workday, SAP SuccessFactors, Odoo, MLflow, GitHub Actions et Azure ML, sans déclaration manuelle du métier.
Classifie chaque décision selon la grille EDPB WP251 et alerte sur Teams ou Slack dès qu'une décision franchit le seuil effet significatif sans base légale article 22(2) valide.
Génère le module intervention humaine clé en main : page web hébergée, formulaire de contestation, workflow d'escalade vers un agent qualifié, SLA mesuré et journalisé.
Rédige automatiquement la mention article 13(2)(f) sur la logique sous-jacente, calibrée selon la complexité du modèle (règles déterministes, scoring linéaire, gradient boosting, réseau de neurones), en langage accessible non technique.
Produit le dossier croisé RGPD article 22 + IA Act annexe III, opposable en contrôle CNPD, avec horodatage cryptographique des décisions, des contestations et des réexamens humains.
Calcule un score de probabilité de requalification CNPD pour chaque processus, basé sur la jurisprudence EDPB et les décisions publiées des autorités européennes.

Disponible en complément d'un mandat DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos pipelines de décision réels, avec un audit blanc gratuit sous 48h pour cartographier vos points de décision automatisée et mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Décision individuelle automatisée, y compris le profilage

Ils nous font confiance

Avant de discuter